otras ideas serian * elegir un puerto distinto para el ssh, en vez del 22 ponerle x ej tu nro de doc. (las primeras 5 o las ultimas 5) o una fecha cualquiera! * deshabilitar el ping desde la wan *desabilitar el acceso root al ftp en /etc/ftpusers * no permitir empty passwords en /etc/ssh/sshd_config * desabilitar el telnet etc
en el "Securing Debian Manual" appendix B sale una extensa lista de consideraciones de este tipo pero creo que estas serian las fundamentales. tambien siempre es bueno tener un check list para ir siguiendo -------------------------------------------------- From: "Pablo Quiroga" <[email protected]> Sent: Wednesday, February 03, 2010 5:27 AM To: <[email protected]> Subject: Consideraciones de seguridad para un servidor LAMP Hola lista, Me toca la tarea de instalar un LAMP mas un repo GIT en una Maquina Fisica o VM (todavia no se donde). No tengo problemas con la instalación y configuración. Pero no tengo mucha experiencia en el área de seguridad. Por el momento el puerto 80 y 22 son los unicos necesarios hacia afuera, y el 3306 para MySQL, pero solo para localhost. ¿Que debo considerar a la hora de configurar los servicios para que sean lo mas seguro posible? Por lo que tengo entendido, algunas medidas son: * Deshabilitar login de root * Usar claves rsa para autenticación * Meter un firewall para filtrar el trafico * Restringir el acceso a determinadas IP (se hace dificil con IP dinámica) * No exponer las caracteristicas del servidor (apache, php) * Mantener las aplicaciones y servicios actualizadas * Usar una distro estable (estaba pensando en debian lenny) * Usar una VM para separar los servicios (no tengo experiencia en este campo) * Configuracion de PHP (aca tengo algo de idea, pero no para un entorno hiperseguro de trabajo) * Modulo security de apache (creo que así se llamaba) * Configurar MySQL para evitar accesos por root (debe estar por default) He buscado un poco y no parece haber una guia concreta que ataque estas distintas aristas en profundidad. Se que algunos suscriptos a la lista mantienen hostings o hacen mantenimiento de servidores. Si me pueden dar una orientación sobre qué es lo que no se me puede pasar, experiencias pasadas, etc. sería genial. Muchas gracias. -- Pablo Daniel Quiroga | @blitux http://blitux.tumblr.com
